Crear y gestionar credenciales con nombre

Puede crear credenciales con nombre en Database Management para almacenar, gestionar y utilizar credenciales de usuario de base de datos.

Las credenciales con nombre son recursos de Oracle Cloud Infrastructure, que contienen credenciales de usuario de base de datos, es decir, el nombre de usuario y la contraseña de la base de datos. Al igual que otros recursos de Oracle Cloud Infrastructure, la creación, la gestión y el uso de credenciales con nombre se controlan mediante las políticas de Oracle Cloud Infrastructure Identity and Access Management (IAM). Como administrador con los permisos necesarios, puede crear y almacenar credenciales con nombre en Database Management, y otorgar a los grupos de usuarios el permiso para utilizar credenciales con nombre para conectarse a una base de datos gestionada y realizar tareas como crear un tablespace, crear un trabajo y editar parámetros de base de datos. Además, las credenciales con nombre también se pueden enlazar a una credencial preferida para permitir a los usuarios acceder a la base de datos gestionada y realizar las tareas asociadas a la credencial preferida.

Estas son las ventajas de utilizar credenciales con nombre:

Las credenciales de usuario son seguras, ya que se guardan en la credencial con nombre y no se exponen a todos los usuarios. Las credenciales con nombre permiten a un DBA con privilegios más bajos realizar tareas relacionadas con el mantenimiento de la base de datos sin tener que conocer la contraseña de la base de datos.
El tiempo y el esfuerzo se guardan porque no es necesario especificar las credenciales de usuario cada vez que se realiza una tarea en Database Management.
Las credenciales de usuario se pueden actualizar dentro de la credencial con nombre, lo que garantiza la facilidad de mantenimiento.
Las credenciales con nombre garantizan la consistencia y evitan errores que pueden resultar del uso de credenciales de usuario diferentes.

Las credenciales con nombre tienen las siguientes categorías de ámbito:

Recurso: se puede utilizar una credencial con nombre con el ámbito Recurso con una única base de datos gestionada.
Global: se puede utilizar una credencial con nombre con el ámbito Global con todas las bases de datos gestionadas.

En Database Management, las credenciales con nombre están disponibles en:

Página Administración Credenciales con nombre: en esta página, puede ver todas las credenciales con nombre de Recurso y Global creadas en el compartimento y realizar las tareas relacionadas con las credenciales con nombre. Para ir a esta página:
1. Abra el menú de navegación en la consola de Oracle Cloud Infrastructure, haga clic en Observabilidad y gestión. En Database Management, haga clic en Administración.
2. En el panel de la izquierda, haga clic en Credenciales con nombre y seleccione un compartimento en la lista desplegable Compartimento.
Página Detalles de base de datos gestionada: en el panel izquierdo, en Recursos, haga clic en Credenciales y, a continuación, en el separador Credenciales con nombre. En el separador Credenciales con nombre, puede ver las credenciales con nombre creadas para la base de datos gestionada y las credenciales con nombre Global en el compartimento y realizar las tareas que pertenecen a las credenciales con nombre.

Realización de tareas previas necesarias y obtención de permisos necesarios

A continuación, se muestra una lista de tareas típicas que se deben realizar antes de crear credenciales con nombre.

El administrador de la base de datos crea las credenciales de usuario de la base de datos. Para obtener información sobre cómo crear cuentas de usuario, consulte Creación de cuentas de usuario en la Guía de seguridad de Oracle Database.
Un usuario de Oracle Cloud Infrastructure con los permisos necesarios crea un secreto de servicio de Vault para la contraseña de usuario de base de datos. El secreto se puede crear en un compartimento diferente o en el mismo compartimento con una clave de almacén diferente o igual.
A continuación se muestra un ejemplo de la política que otorga a un grupo de usuarios el permiso para crear secretos:
```
Allow group DB-MGMT-USER to manage secret-family in compartment ABC
```
Para obtener información sobre cómo crear un secreto, consulte Creación de un secreto en un almacén.
El administrador de la base de datos con los permisos necesarios de Oracle Cloud Infrastructure crea uno de los siguientes tipos de políticas para proporcionar acceso al secreto del servicio Vault con la contraseña de usuario de la base de datos:
- Usuario: el permiso para acceder al secreto de contraseña lo define un usuario en la política.
  A continuación, se muestra un ejemplo de la política que otorga a un usuario el permiso para acceder al secreto:
```
Allow any-user to read secret in compartment ABC where request.user.id = <user_OCID>
```
- Recurso: el permiso para acceder al secreto de contraseña se define para el tipo de recurso en la política.
  Las credenciales con nombre están soportadas para los recursos de bases de datos Oracle activadas para Database Management (dbmgmtmanageddatabase). A continuación, se muestra un ejemplo de la política que otorga a este tipo de recurso el permiso para acceder al secreto:
```
Allow any-user to read secret-family in compartment ABC where ALL {request.principal.type='dbmgmtmanageddatabase'}
```

Al realizar las tareas previas necesarias, un usuario con los permisos del recurso dbmgmt-named-credentials de Database Management puede crear y gestionar credenciales con nombre. Estos son algunos ejemplos de las políticas que otorgan a los grupos de usuarios los permisos necesarios:

Para otorgar al grupo de usuarios DB-MGMT-ADMIN el permiso para crear credenciales con nombre para todas las bases de datos gestionadas en el compartimento ABC:
```
Allow group DB-MGMT-ADMIN to manage dbmgmt-named-credentials in compartment ABC
```
```
Allow group DB-MGMT-ADMIN to use dbmgmt-managed-databases in compartment ABC
```
Para otorgar al grupo de usuarios DB-MGMT-ADMIN el permiso para suprimir las credenciales con nombre en el compartimento ABC:
```
Allow group DB-MGMT-ADMIN to manage dbmgmt-named-credentials in compartment ABC
```
Para otorgar al grupo de usuarios DB-MGMT-ADMIN el permiso para mover las credenciales con nombre del compartimento ABC a otro compartimento:
```
Allow group DB-MGMT-ADMIN to manage dbmgmt-named-credentials in compartment ABC
```

Una vez creada una credencial con nombre, el permiso para utilizar la credencial con nombre para realizar varias tareas de Database Management Diagnostics & Management se debe otorgar a grupos de usuarios (además de otros permisos necesarios). Por ejemplo, a continuación se muestran las políticas que otorgan al grupo de usuarios DB-MGMT-USER el permiso para crear un tablespace y utilizar credenciales con nombre para ello:

Allow group DB-MGMT-USER to use dbmgmt-managed-databases in compartment ABC

Allow group DB-MGMT-USER to read dbmgmt-named-credentials in compartment ABC

Para obtener más información sobre los tipos de recursos y permisos de Database Management, consulte Detalles de política para Database Management.

Crear Credenciales con Nombre

Puede crear credenciales con nombre para acceder, supervisar y gestionar una base de datos gestionada en la página Detalles de base de datos gestionada.

Nota

También puede crear y gestionar credenciales con nombre en la página Administración Credenciales con nombre. Para obtener más información, consulte Creación y gestión de credenciales con nombre.

Vaya a la página Detalles de base de datos gestionada y, en el panel izquierdo, en Recursos, haga clic en Credenciales.
Haga clic en el separador Credenciales con nombre.
Se muestra la lista de credenciales con nombre, si las hay, en el compartimento y, para ver las credenciales con nombre en otro compartimento, haga clic en Cambiar compartimento. Además, puede utilizar las opciones de la lista desplegable Ver por y el campo Buscar por nombre para filtrar la lista de credenciales con nombre.
Haga clic en Crear credencial con nombre.
En el panel Crear credencial con nombre:
1. Proporcione la siguiente información en la sección General:
  1. Nombre: revise el nombre único que se muestra para la credencial con nombre y cámbielo, si es necesario.
  2. Descripción: también puede introducir una descripción para la credencial con nombre.
2. Revise los detalles de la base de datos y defina la credencial con nombre como credencial preferida, si es necesario, en la sección Recurso:
  1. Tipo: revise el tipo de recurso. Oracle Database está seleccionado por defecto y este campo no se puede editar.
  2. Ámbito: seleccione el ámbito de la credencial con nombre:
    - Recurso: se puede utilizar una credencial con nombre con el ámbito Recurso para acceder, supervisar y gestionar una única base de datos gestionada.
    - Global: se puede utilizar una credencial con nombre con el ámbito Global para acceder, supervisar y gestionar todas las bases de datos gestionadas.
  3. Nombre de recurso: revise el nombre de la base de datos gestionada. Este campo no se puede editar cuando se accede al panel Crear credencial con nombre desde la página Detalles de base de datos gestionada.
    Nota
    
    Para crear una credencial con nombre para una base de datos gestionada diferente, vaya a la página Administración Credenciales con nombre.
  4. Definir como credencial preferida: opcionalmente, seleccione esta casilla de control y seleccione una credencial preferida. Si opta por enlazar la credencial con nombre a una credencial preferida, puede utilizar la credencial con nombre para realizar las tareas asociadas a la credencial preferida. Para obtener más información sobre las credenciales preferidas, consulte Definición de las credenciales preferidas.
    Nota
    
    Se ha definido una credencial preferida para una base de datos gestionada concreta; por lo tanto, la casilla de control Definir como credencial preferida no se muestra si se selecciona la opción de ámbito Global.
3. Especifique los siguientes detalles de credencial:
  - Nombre de usuario: introduzca el nombre de usuario de base de datos que desea conectar a la base de datos gestionada.
  - Secreto de contraseña de usuario: seleccione el secreto que contiene la contraseña de usuario de base de datos en la lista desplegable. Si el compartimento en el que reside el secreto es diferente del que se muestra, haga clic en Cambiar compartimento y seleccione otro compartimento.
    Si un secreto existente con la contraseña de usuario de base de datos no está disponible, seleccione Crear nuevo secreto... en la lista desplegable. Para obtener información sobre el permiso necesario para crear un secreto y cómo crear un secreto, consulte Realización de tareas previas necesarias y obtención de permisos necesarios.
  - Rol: seleccione el rol de las opciones disponibles.
  - Modo de acceso de secreto de contraseña: seleccione el modo de acceso de secreto de contraseña:
    - Usuario: El permiso para acceder al secreto de contraseña lo define un usuario en la política.
    - Recurso: el permiso para acceder al secreto de contraseña se define para el tipo de recurso (para el que se crea la credencial con nombre) en la política.
    Para obtener información sobre las políticas que proporcionan acceso al secreto con la contraseña de usuario de la base de datos, consulte Realización de tareas previas necesarias y obtención de permisos necesarios.
4. También puede hacer clic en Mostrar opciones avanzadas para agregar etiquetas de formato libre o definidas a la credencial con nombre. Si tiene los permisos necesarios para crear una credencial con nombre, también tiene permisos para agregar etiquetas de formato libre. Para agregar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta.
  Para obtener información sobre:
  - Conceptos de etiquetado y permisos necesarios para trabajar con etiquetas. Consulte Visión general del etiquetado.
  - Cómo agregar una etiqueta durante la creación del recurso, consulte Para agregar una etiqueta durante la creación del recurso.
5. También puede hacer clic en Probar para comprobar si la conexión a la instancia de Managed Database se ha establecido correctamente mediante las credenciales.
6. Haga clic en Crear para crear la credencial con nombre.

La credencial con nombre recién creada se muestra en el separador Credenciales con nombre de la sección Credenciales y se puede utilizar para realizar varias tareas, como la creación de trabajos y juegos de ajustes SQL. Puede hacer clic en el nombre de la credencial con nombre para ver información de credenciales como su OCID, ámbito y recursos asociados (bases de datos gestionadas) y realizar tareas relacionadas con etiquetas.

Puede hacer clic en el icono Acciones () de la credencial con nombre y realizar las siguientes tareas:

Probar: haga clic para probar si se ha establecido una conexión con la base de datos gestionada mediante la credencial con nombre.
Editar: haga clic para editar y actualizar la credencial con nombre.
Mover: haga clic para mover la credencial con nombre del compartimento actual a otro compartimento.
Suprimir: haga clic para suprimir la credencial con nombre.

Documentación de Oracle Cloud Infrastructure Probar cuenta gratuita